-
Wenn du hier im Forum ein neues Thema erstellst, sind schon Punkte aufgeführt die du ausfüllen musst. Das dient im Allgemeinen dazu die notwendigen Informationen direkt mit der Frage bereitzustellen.
Da in letzter Zeit immer wieder gerne das Formular gelöscht wurde und erst nach 3 Seiten Nachfragen die benötigten Infos für eine Hilfe kommen, werde ich nun jede Fragestellung die nicht einmal annähernd das Formular benutzt, sofort in den Sondermüll schicken.
Füllt einfach die abgefragte Daten aus und alle können euch viel schneller helfen.
XF2.2 Anhänge in Unterhaltungen einsehbar?
- Ersteller mph
- Erstellt am
- Registriert
- 20. März 2014
- Beiträge
- 871
- Punkte
- 158
- XF Version
- 1.5.20a
- 2.0.6a
- XF Instanz
- Hosting
- Provider/Hoster
- Forumhelden GmbH
Ich vermute dass einfach der Effekt des Browser-Cache nicht berücksichtigt wurde:
Anhänge haben (standardmäßig) kein Cache-Control: Must-Revalidate, d.h. sie werden vom Browser gecached und bei erneutem Aufruf nicht revalidiert.
Was also im Cache ist wird aus diesem ausgeliefert ohne dass da eine erneute Prüfung stattfindet.
Wenn man also als berechtigter User einen Anhang in den Browser-Cache "gepackt" hat, sich dann ausloggt und die URL "als Gast" erneut aufruft kriegt man den Cache-Inhalt und könnte denken man könnte das als Gast aufrufen.
Könnte man über Must-Revalidate eingrenzen, allerdings hält sich der dadurch entstandene "Sicherheitsgewinn" IMHO in Grenzen - was im Cache ist kann User i.d.R. auch lesen, egal ob der Browser das bei einem Aufruf revalidiert oder nicht.
Bringt also +- nichts außer mehr Traffic.
Anhänge haben (standardmäßig) kein Cache-Control: Must-Revalidate, d.h. sie werden vom Browser gecached und bei erneutem Aufruf nicht revalidiert.
Was also im Cache ist wird aus diesem ausgeliefert ohne dass da eine erneute Prüfung stattfindet.
Wenn man also als berechtigter User einen Anhang in den Browser-Cache "gepackt" hat, sich dann ausloggt und die URL "als Gast" erneut aufruft kriegt man den Cache-Inhalt und könnte denken man könnte das als Gast aufrufen.
Könnte man über Must-Revalidate eingrenzen, allerdings hält sich der dadurch entstandene "Sicherheitsgewinn" IMHO in Grenzen - was im Cache ist kann User i.d.R. auch lesen, egal ob der Browser das bei einem Aufruf revalidiert oder nicht.
Bringt also +- nichts außer mehr Traffic.
- Registriert
- 11. Dez. 2010
- Beiträge
- 5.218
- Punkte
- 448
- XF Version
- 2.2.15
- XF Instanz
- Hosting
- PHP-Version
- 8.2.x
- MySQL/MariaDB
- 10.3.x
- Provider/Hoster
- Strato/Hetzner
Na den Test könnte Mph ja recht einfach machen, Cache löschen und noch nen Versuch um sicher zu gehen.
- Registriert
- 10. Jan. 2017
- Beiträge
- 1.042
- Punkte
- 223
- XF Version
- 2.2.10 PL1
- XF Instanz
- Hosting
- Provider/Hoster
- 1&1 Ionos
Nein. Ich habe XFMG, XFRM, ein Kalender-Addon und das Addon zum Test installiert, das du gestern geschrieben hast. Ich bin mit Addons ziemlich sparsam.
- Registriert
- 30. Dez. 2010
- Beiträge
- 3.167
- Punkte
- 248
- XF Version
- 2.2.10 PL1
- XF Instanz
- Hosting
- PHP-Version
- 8.0.8
- MySQL/MariaDB
- MariaDB 10.3.8
- Provider/Hoster
- AWS
Hast du Cloudflare oder andere Caching Systeme im Einsatz?
Es könnte auch sein das die Seite in einem externen System gespeichert wird. Oft werden da auch redirects gespeichert. Redirects werden auch oft von Browsern massiv gecached.
Es könnte auch sein das die Seite in einem externen System gespeichert wird. Oft werden da auch redirects gespeichert. Redirects werden auch oft von Browsern massiv gecached.
- Registriert
- 10. Jan. 2017
- Beiträge
- 1.042
- Punkte
- 223
- XF Version
- 2.2.10 PL1
- XF Instanz
- Hosting
- Provider/Hoster
- 1&1 Ionos
Nur OPCache und einen Filecache für XenForo. Und wie es im Forum ist, wo angeblich Anhänge aus Unterhaltungen abgegriffen worden sind, weiß ich nicht.
- Registriert
- 20. März 2014
- Beiträge
- 871
- Punkte
- 158
- XF Version
- 1.5.20a
- 2.0.6a
- XF Instanz
- Hosting
- Provider/Hoster
- Forumhelden GmbH
Wie gesagt, bei einem XF ohne durch Add-ons verursachte Sicherheitslücken und einem korrekt konfigurierten Webserver der keinem direkten Zugriff auf internal_data zulässt ist das vorbehaltlich bis dato unentdeckter Sicherheitslücken nicht möglich.